Om FIDO2-verificatie in te stellen in de Workspace ONE Access-service, moet u FIDO2-verificatie inschakelen, de FIDO2-instellingen configureren en FIDO2 inschakelen in de ingebouwde identiteitsprovider. Vervolgens configureert u toegangsbeleidsregels om te verifiëren met FIDO2.

FIDO2-verificatie is alleen beschikbaar voor toegang tot webapps via het Workspace Intelligent Hub-webportal.

Voorwaarden

Systeemvereisten

Browser Besturingssysteem Authenticatortype
Google Chrome 85 of hoger MacOS 10.15.7 TouchID

Extern (Yubikey)

Windows 10 Windows Hello

Extern (Yubikey)

Safari 14.02 of hoger MacOS 10.15.7 Extern (Yubikey)
Microsoft Edge Chromium 85 of hoger Windows 10 Windows Hello

Extern (Yubikey)

Firefox 81 of hoger Windows 10 Extern (Yubikey)

Procedure

  1. Ga op het tabblad Identiteits- en toegangsbeheer van de Workspace ONE Access-console naar Beheren > Verificatiemethoden.
    1. Klik in de rij FIDO2 op het potloodpictogram.
    2. Configureer de FIDO2-instellingen.
      Optie Beschrijving
      FIDO-adapter inschakelen Schakel FIDO2-verificatie in op de ingebouwde identiteitsprovider van de service.
      Registratie tijdens aanmelding inschakelen Standaard ingeschakeld. De eerste keer dat een gebruiker zich probeert aan te melden wanneer FIDO2-verificatie is ingeschakeld, wordt deze gevraagd om de FIDO2-authenticator te registreren.
      Maximum aantal verificatiepogingen Het aantal keren dat een gebruiker kan proberen te verifiëren voordat deze het bericht Toegang geweigerd ontvangt.
      Attestoverdrachtsvoorkeur

      De attestatiegegevens die worden geretourneerd van de authenticator, bevatten informatie die kan worden gebruikt om gebruikers te volgen. Met deze optie kan de Workspace ONE Access-server aangeven hoe belangrijk de attestatiegegevens voor de FIDO2-registratiegebeurtenis zijn.

      • none. De standaardwaarde. Deze waarde geeft aan dat de Relying Party geen interesse heeft in attestatie van de authenticator.
      • indirect. Deze waarde geeft aan dat de Relying Party de voorkeur geeft aan een attestatieoverdracht die verifieerbare attestatie-instructies aflevert, maar geeft de client de mogelijkheid om te bepalen hoe dergelijke attestatie-instructies moeten worden verkregen.
      • direct. Deze waarde geeft aan dat de Relying Party de attestatie-instructies wil ontvangen, zoals gegenereerd door de authenticator.
        Opmerking: Als de voorkeur voor de attestatieoverdracht direct is, werkt de TouchID-authenticator niet.
      Gebruikersverificatievoorkeur Configureer hoe de gebruikersverificatie moet worden afgehandeld.

      Required is de standaardwaarde. Deze optie biedt de hoogste beveiliging.

      • discouraged. Deze waarde geeft aan dat de Relying Party niet wilt dat gebruikersverificatie wordt gebruikt tijdens de verificatie.
      • preferred. Deze waarde geeft aan dat de Relying Party indien mogelijk voorkeur geeft aan gebruikersverificatie, maar dat de bewerking niet zal mislukken als de markering UV niet is ingesteld voor het antwoord.
      • required. De standaardwaarde. Deze waarde geeft aan dat de Relying Party gebruikerverificatie vereist voor de bewerking en dat de bewerking mislukt als de markering UV niet is ingesteld voor het antwoord.
      Verificatortypevoorkeur

      Selecteer cross-platform als beheerders gebruikers registreren. Selecteer platform als gebruikers apparaten registreren. Selecteer all om beide opties te gebruiken.

      • platform. Authenticators die aan een apparaat zijn gekoppeld. Bijvoorbeeld een laptop met Windows Hello.
      • cross-platform. Authenticators die verwijderbaar en platformoverschrijdend zijn. Bijvoorbeeld een YubiKey. Deze authenticators kunnen op meerdere apparaten worden gebruikt.
      • all
      Verificatietime-out in seconden Voer het aantal seconden in dat moet worden gewacht op een antwoord voordat de aanvraag verloopt. De aanbevolen tijd is 180 seconden (3 minuten).
      Actietype (optioneel)

      U kunt beperkingen voor gebruikers configureren om specifieke FIDO2-beveiligingssleutels op basis van hun AAGUID toe te staan of specifieke FIDO-beveiligingssleutels op basis van hun AAGUID te blokkeren.

      Als u een actietype hebt geselecteerd, configureert u de Authenticatorlijst van AAGUID's die u wilt beheren.

      Authenticatorlijst van AAGUID's

      Als u een actietype hebt geselecteerd, vermeldt u de AAGUID voor de FIDO2-beveiligingssleutel van alle typen authenticators die u wilt toestaan of blokkeren.

      Elke authenticator moet tijdens de registratie een AAGUID (Authenticator Attestation GUID) opgeven. Een AAGUID is een 128-bits id die het type aangeeft, bijvoorbeeld het merk en model van de authenticator.

      De AAGUID wordt weergegeven als een tekenreeks, bijvoorbeeld 7a98c250-6808-11cf-b73b-00aa00b677a7, die uit 5 hexadecimale tekenreeksen bestaat, gescheiden door een streepje (-).

    3. Klik op Opslaan.
  2. Navigeer naar Beheren > Identiteitsproviders en selecteer de ingebouwde identiteitsprovider die u al hebt geconfigureerd.
    1. Selecteer in de sectie Verificatiemethoden de optie FIDO2.
    2. Klik op Opslaan.

Volgende stappen

Maak een FIDO2-registratiebeleidsregel en een FIDO2-verificatiebeleidsregel in Beleidsregels.